一、核心概念与设计意义
前缀列表(IP Prefix-list) 是路由层面 设计的精细化匹配工具,通过同时匹配网络前缀(IP地址) 与前缀长度(掩码) 实现路由控制。
本质特性
- 匹配引擎 :定义"哪些路由符合条件",规则中
permit/deny表示匹配结果标记(非最终动作) - 策略载体 :需被
Route-Policy、Filter-Policy、peer命令等策略调用,由调用者决定最终行为(接收/拒绝/修改属性) - 顺序匹配 :严格按
index升序匹配,首条匹配即终止,后续规则不再检查 - 隐式拒绝 :末尾存在默认规则
deny 0.0.0.0 0 less-equal 32(拒绝所有未显式允许的路由)
前缀列表规则中的
permit/deny是匹配结果标记 。例如在peer x.x.x.x ip-prefix PL import中,标记为deny的路由将被BGP过滤;在Route-Policy中,该标记可触发后续apply动作。
二、与ACL的核心差异(路由过滤场景)
| 特性 | ACL(用于路由过滤) | 前缀列表(IP Prefix-list) |
|---|---|---|
| 设计目标 | 数据包过滤(三层/四层) | 专业路由过滤 |
| 掩码匹配 | 仅支持精确匹配或通配符,难以表达长度范围 | 原生支持ge/le参数,精准控制掩码范围 |
| 匹配逻辑 | 地址+通配符,掩码处理笨拙 | 网络地址 + 基础长度 + [ge, le] 三重约束 |
| 性能 | 路由匹配效率低 | VRP内核针对路由前缀优化,匹配速度快 |
| 可维护性 | 配置意图模糊(如acl 2000 rule permit source 10.1.0.0 0.0.255.255) |
语义清晰(permit 10.1.0.0 16 ge 24 le 30) |
| 适用协议 | 通用(但路由过滤非强项) | BGP/OSPF/IS-IS/RIP等路由协议深度集成 |
ACL是"包过滤专家",前缀列表是"路由过滤专家"
三、核心作用
- 精细化路由过滤
- 控制BGP邻居收发路由、限制路由表规模、防止路由泄露
- 路由策略触发条件
- 在Route-Policy中作为
if-match条件,实现差异化属性设置(如MED、Local_Pref、Community)
- 在Route-Policy中作为
- 路由引入/聚合控制
import-route时筛选引入路由;聚合时排除特定明细路由
- 安全加固
- 拒绝非法网段(如私有地址外泄、黑洞路由)
四、典型应用场景
| 场景 | 配置示例 | 说明 |
|---|---|---|
| BGP入向过滤 | peer 2.2.2.2 ip-prefix PL_IN import |
过滤从邻居接收的路由 |
| BGP出向过滤 | peer 2.2.2.2 ip-prefix PL_OUT export |
控制向邻居发布的路由 |
| 协议间引入过滤 | route-policy RP_IMPORT permit node 10<br>if-match ip-prefix PL_IMPORT<br>...<br>import-route ospf 1 route-policy RP_IMPORT |
仅引入匹配前缀的OSPF路由至BGP |
| OSPF/IS-IS入向过滤 | filter-policy ip-prefix PL_FILTER import |
过滤进入IP路由表的LSA计算结果(不影响LSDB) |
| RIP出向过滤 | filter-policy ip-prefix PL_RIP export |
限制RIP发布的路由 |
| 策略路由(PBR) | traffic classifier C1 operator or<br>if-match destination-ip ip-prefix PL_PBR |
按目的网段引导流量 |
五、配置语法与匹配逻辑
基础命令
ip ip-prefix <name> index <seq> { permit | deny } <network> <mask-length> [ greater-equal <min> ] [ less-equal <max> ]匹配规则(关键)
| 配置形式 | 实际匹配范围 | 示例说明 |
|---|---|---|
permit 10.1.0.0 16 |
仅10.1.0.0/16 |
精确匹配 |
permit 10.0.0.0 8 less-equal 16 |
10.0.0.0/8 ~ 10.255.255.255/16 |
掩码8~16位,且前8位为10 |
permit 172.16.0.0 12 greater-equal 24 |
172.16.0.0/24 ~ 172.31.255.255/32 |
掩码≥24位,且前12位匹配 |
permit 192.168.0.0 16 greater-equal 24 less-equal 28 |
192.168.x.0/24 ~ /28 |
掩码24~28位,且属于192.168.0.0/16 |
约束条件 :
mask-length ≤ ge-value ≤ le-value ≤ 32,否则配置失败
六、配置案例(关键逻辑说明)
需求
- 精确允许
172.16.1.0/24 - 允许
10.0.0.0/8中掩码24~30位的子网 - 拒绝所有
192.168.0.0/16路由,但例外允许192.168.100.0/24 - 允许其他所有路由
配置
# 1. 精确匹配:172.16.1.0/24
ip ip-prefix PL_POLICY index 10 permit 172.16.1.0 24
# 2. 范围匹配:10.0.0.0/8 中掩码24~30位
ip ip-prefix PL_POLICY index 20 permit 10.0.0.0 8 greater-equal 24 less-equal 30
# 3. 【关键】例外优先:先允许特例 192.168.100.0/24(index必须小于deny规则!)
ip ip-prefix PL_POLICY index 30 permit 192.168.100.0 24
# 4. 拒绝整个192.168.0.0/16网段(含所有子网)
ip ip-prefix PL_POLICY index 40 deny 192.168.0.0 16 greater-equal 16 less-equal 32
# 5. 允许其他所有路由(对抗隐式deny)
ip ip-prefix PL_POLICY index 50 permit 0.0.0.0 0 less-equal 32匹配流程解析(以BGP import应用为例)
| 路由条目 | 匹配过程 | 结果 |
|---|---|---|
192.168.100.0/24 |
先匹配index 30(permit)→ 立即通过 | ✅ 允许 |
192.168.1.0/24 |
跳过index 30(不匹配)→ 匹配index 40(deny) | ❌ 拒绝 |
8.8.8.0/24 |
跳过10~40 → 匹配index 50(permit) | ✅ 允许 |
10.1.1.0/25 |
匹配index 20(permit) | ✅ 允许 |
原则 :更具体的规则必须配置更小的index!若将deny规则置于permit特例之前,特例将永不会被匹配。
应用至BGP
bgp 100
peer 2.2.2.2 as-number 200
peer 2.2.2.2 ip-prefix PL_POLICY import # 入向过滤
peer 2.2.2.2 ip-prefix PL_POLICY export # 出向过滤(按需配置)七、验证命令
display ip ip-prefix PL_POLICY # 查看前缀列表配置及匹配计数
display ip ip-prefix PL_POLICY statistics # 详细统计(部分VRP版本支持)
reset ip ip-prefix PL_POLICY # 清零匹配计数(用于测试验证)八、实践与避坑
-
规则顺序
精确permit → 范围permit → 特例permit → 宽泛deny → 通用permit(index严格递增,避免逻辑冲突)
-
必须显式添加兜底规则
若需允许"其他路由",末尾务必配置
permit 0.0.0.0 0 less-equal 32 -
测试验证流程
- 配置后执行
reset清计数 - 注入测试路由
- 用
display ip ip-prefix观察匹配计数变化
- 配置后执行
-
命名规范建议
PL_BGP_IN_CORE、PL_OSPF_IMPORT等,体现用途与方向 -
避免常见错误
- 将宽泛deny置于特例permit之前 → 特例失效
- 忽略隐式deny → 未匹配路由被意外过滤
- ge/le参数违反
mask ≤ ge ≤ le约束 → 配置失败
总结
前缀列表路由控制的基石工具,其核心价值在于:
- 专业性:专为路由前缀+掩码长度设计
- 精确性 :
ge/le实现掩码范围灵活控制 - 高效性:匹配性能优于ACL,适合大规模路由场景
- 策略协同:与Route-Policy深度联动,构建复杂路由策略
掌握"顺序匹配、特例优先、显式兜底"三大原则,结合严谨的测试验证,即可在ENSP实验与现网部署中安全高效地运用前缀列表,实现精细化路由治理。